Citrix ADC

配置 Citrix ADC 设备以进行审核日志记录

警告:

Citrix ADC 12.0 build 56.20 起已弃用经典策略表达式及其用法(不建议使用,但仍受支持),作为替代方案,Citrix 建议您使用高级策略。有关详细信息,请参阅 高级策略

审计日志记录显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审计框架的主要组成部分是 “审计操作”、“审计策略”。“审核操作” 描述审计服务器的配置信息,而 “审计策略” 将绑定实体链接到 “审计操作”。审计策略使用 “经典策略引擎” (CPE) 框架或进度集成 (PI) 框架将 “审计操作” 链接到 “系统全局绑定实体”。

但是,这些策略框架在将审计日志策略绑定到全球实体方面彼此不同。以前,审计模块只支持经典表达式,但现在它同时支持经典和高级策略表达式。目前,Advanced 表达式只能将审计日志策略绑定到系统全局实体。

注意

将策略绑定到全局实体时,必须将其绑定到同一表达式的系统全局实体。例如,您无法将经典策略绑定到高级全局实体或将高级策略绑定到传统全局实体。

此外,您不能将传统的审计日志策略和高级审计日志策略同时绑定到负载平衡虚拟服务器。

在传统策略表达式中配置审计日志策略

在 Classic 策略中配置审计日志记录包括以下步骤:

  1. 配置审计日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作” 描述审计服务器的配置信息,而 “审计策略” 将绑定实体链接到 “审计操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。在传输完整数据方面,TCP 比 UDP 更可靠。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,日志将发送到 SYSLOG 服务器。
  2. 配置审计日志策略。您可以配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略以将消息记录到 NSLOG 服务器。每个策略都包括一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 审计日志策略绑定到全局实体。您必须将审核日志策略全局绑定到全局实体,例如 SYSTEM、VPN、Citrix ADC AAA 等。您可以这样做以启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级,您可以设置审计服务器日志记录的评估顺序。优先级 0 是最高的,首先进行评估。优先级数字越高,评估的优先级越低。

以下各节将介绍这些步骤中的每一个步骤。

配置审计日志操作

使用命令行界面在高级策略基础结构中配置 SYSLOG 操作。

注意

Citrix ADC 设备只允许您为 SYSLOG 服务器 IP 地址和端口配置一个 SYSLOG 操作。设备不允许您为同一服务器 IP 地址和端口配置多个 SYSLOG 操作。

syslog 操作包含对 syslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

ns 日志操作包含对 nslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

配置审计日志策略

使用命令行界面在传统策略基础架构中配置审计日志策略

在命令提示符下,键入:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]
<!--NeedCopy-->

将审计系统日志策略绑定到审计 syslog 全局

使用命令行界面在 Classic 策略框架中绑定审计日志策略

在命令提示符下,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用高级策略表达式配置审计日志策略

在 “高级” 策略中配置审计日志记录包括以下步骤:

  1. 配置审计日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作” 描述审计服务器的配置信息,而 “审计策略” 将绑定实体链接到 “审计操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。在传输完整数据方面,TCP 比 UDP 更可靠。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,日志将发送到 SYSLOG 服务器。
  2. 配置审计日志策略。您可以配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略以将消息记录到 NSLOG 服务器。每个策略都包括一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 审计日志策略绑定到全局实体。您必须将审核日志策略全局绑定到 SYSTEM 全局实体,以启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级,您可以设置审计服务器日志记录的评估顺序。优先级 0 是最高的,首先进行评估。优先级数字越高,评估的优先级越低。

注意

Citrix ADC 设备会评估绑定为 true 的所有策略。

配置审计日志操作

使用命令行界面在高级策略基础结构中配置 syslog 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

配置审计日志策略

使用命令行界面添加 syslog 审核操作

在命令提示符下,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
<!--NeedCopy-->

示例

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

使用命令行界面添加 nslog 审核操作

在命令提示符下,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

将审计日志策略绑定到全局实体

使用命令行界面在高级策略框架中绑定 syslog audit-log 策略

在命令提示符下,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用 GUI 配置审计日志策略

  1. 导航到 配置 > 系统 > 审核 > 系统日志

系统日志审计

  1. 选择 服务器 选项卡。
  2. 单击添加
  3. 在 “ 创建审计服务器 ” 页中,填充相关字段,然后单击 “ 创建”。
  4. 要添加策略,请选择 “ 略” 选项卡,然后单击 “ 添加”。
  5. 在 “ 创建审计系统日志策略 ” 页中,填充相关字段,然后单击 创建

    系统日志策略

  6. 要全局绑定策略,请从下拉列表中选择 高级策略全局绑 定。选择最 好的 _syslog_policy_ever 策略。单击 Select(选择)。
  7. 从下拉列表中,选择绑定点作为 SYSTEM_GLOBAL ,然后单击 绑定,然后单击 完成

配置基于策略的日志

您可以为重写和响应程序策略配置基于策略的日志记录。然后,当策略中的规则评估为 TRUE 时,将以定义的格式记录审计消息。要配置基于策略的日志记录,请配置审计消息操作,该操作使用高级策略表达式指定审计消息的格式。然后将操作与策略关联起来。该策略可以全局绑定,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审计消息操作在各种日志级别记录消息,可以是仅采用 syslog 格式,也可以同时采用 syslog 和新的 nslog 格式

必备条件

  • 在配置要以定义的格式向其发送日志的审计操作服务器时,启用了用户可配置日志消息 (UserDefinedAuditLog) 选项。
  • 相关的审计策略绑定到系统全局。

配置审计消息操作

您可以将审核消息操作配置为在各种日志级别记录消息,既可以是仅采用 syslog 格式,也可以是 syslog 和新的 ns 日志格式。审核消息操作使用表达式指定审核消息的格式。

使用命令行界面创建审计消息操作

在命令提示符下,键入:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

使用 GUI 配置审计消息操作

导航到 “ 系统” > “审核” > “消息操作”,然后创建审计消息操作。

将审计消息操作绑定到策略

创建审核消息操作后,必须将其绑定到重写或响应程序策略。有关将日志消息操作绑定到重写或响应程序策略的更多信息,请参阅 重写响应程序

配置 Citrix ADC 设备以进行审核日志记录